KR101291782B1 - Webshell detection and corresponding system - Google Patents
Webshell detection and corresponding system Download PDFInfo
- Publication number
- KR101291782B1 KR101291782B1 KR1020130009330A KR20130009330A KR101291782B1 KR 101291782 B1 KR101291782 B1 KR 101291782B1 KR 1020130009330 A KR1020130009330 A KR 1020130009330A KR 20130009330 A KR20130009330 A KR 20130009330A KR 101291782 B1 KR101291782 B1 KR 101291782B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- detection
- target server
- webshell
- web page
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42D—BOOKS; BOOK COVERS; LOOSE LEAVES; PRINTED MATTER CHARACTERISED BY IDENTIFICATION OR SECURITY FEATURES; PRINTED MATTER OF SPECIAL FORMAT OR STYLE NOT OTHERWISE PROVIDED FOR; DEVICES FOR USE THEREWITH AND NOT OTHERWISE PROVIDED FOR; MOVABLE-STRIP WRITING OR READING APPARATUS
- B42D5/00—Sheets united without binding to form pads or blocks
- B42D5/04—Calendar blocks
- B42D5/047—Calendar blocks in which the calendar sheet or sheets are combined with other articles
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B42—BOOKBINDING; ALBUMS; FILES; SPECIAL PRINTED MATTER
- B42P—INDEXING SCHEME RELATING TO BOOKS, FILING APPLIANCES OR THE LIKE
- B42P2221/00—Books or filing appliances with additional arrangements
- B42P2221/02—Books or filing appliances with additional arrangements with indicating means
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
본 발명은 웹쉘(Webshell) 탐지 기술에 관련한 것으로 특히 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고도 간편하게 탐지 대상 서버의 웹쉘을 탐지할 수 있는 웹쉘 탐지/대응 시스템에 관한 것이다.The present invention relates to a webshell detection technology, and more particularly, to a webshell detection / response system that can easily detect a webshell of a detection target server without installing a separate webshell detection application compiled as a binary file on the detection target server. will be.
웹쉘(Webshell)은 공격자가 원격에서 침입 대상 서버에 명령을 수행할 수 있도록 작성한 asp, php, jsp, cgi 파일 등의 웹 스크립트(Web Script) 파일을 말한다. 공격자는 웹쉘을 이용해 침입 대상 서버의 관리자 권한을 획득한 후, 침입 대상 서버의 웹페이지 소스 코드 열람, 침입 대상 서버내의 컨텐츠 등의 자료 유출, 백도어 프로그램 설치 등의 다양한 공격을 할 수 있다. 최근에는 파일 업로드뿐만 아니라, SQL 인젝션(Injection) 등과 같은 웹 취약점을 공격한 후 지속적으로 침입 대상 서버를 해킹하는 등 그 유형이 점차 교묘해 지고 있다.Webshell is a web script file such as asp, php, jsp, cgi file that an attacker can remotely execute a command on a target server. The attacker can use the web shell to gain administrator rights on the intrusion target server, and then execute various attacks such as viewing the web page source code of the intrusion target server, leaking data on the intrusion target server, and installing a backdoor program. Recently, as well as uploading files, the type is gradually becoming more sophisticated, such as continuously attacking the target server after attacking web vulnerabilities such as SQL injection (Injection).
대한민국 공개특허 제10-2009-0088687호(2009. 08. 20)에서 탐지 대상 컴퓨터에 설치되어 웹쉘 시그니쳐 분석을 통해 탐지 대상 컴퓨터가 웹쉘에 감염되었는지 탐지하고, 등록되지 않은 웹쉘 시그니쳐가 발생한 경우에는 서버로부터 웹쉘 시그니쳐를 업데이트 받는 웹쉘 탐지 기술을 제안하고 있다. In Korean Patent Laid-Open No. 10-2009-0088687 (2009. 08. 20), it is installed on the target computer to detect whether the target computer is infected by web shell signature analysis through web shell signature analysis, and when an unregistered web shell signature occurs, the server We propose a webshell detection technology that updates webshell signatures from.
그러나, 이러한 종래의 웹쉘 탐지 기술은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하여 웹쉘을 탐지해야만 하였으므로, 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 있었고, 웹쉘 탐지를 위한 별도의 관리 인력이 필요하였고, 웹쉘로 인한 사고 발생시 웹쉘에 대한 전문적인 지식 부재로 신속한 대응이 어려운 문제가 있었다.However, since the conventional webshell detection technology had to install a separate webshell detection application compiled as a binary file on the detection target server to detect the webshell, there was a possibility of conflict with another application processing on the detection target server. There was a need for a separate management manpower for detecting webshells, and in the event of an accident caused by webshells, it was difficult to respond quickly due to the lack of expert knowledge about webshells.
따라서, 본 발명자는 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고도 간편하게 탐지 대상 서버의 웹쉘을 탐지할 수 있는 웹쉘 탐지 기술에 대한 연구를 하게 되었다.Therefore, the present inventors have studied the web shell detection technology that can easily detect the web shell of the detection target server without installing a separate web shell detection application compiled in the form of a binary file on the detection target server.
본 발명은 상기한 취지하에 발명된 것으로, 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되는 정보 수집 스크립트를 통해 탐지 대상 서버로부터 정보를 수집하고, 수집된 정보를 이용해 원격에서 탐지 대상 서버가 웹쉘에 감염되었는지 여부를 판단할 수 있는 웹쉘 탐지/대응 시스템을 제공함을 그 목적으로 한다.The present invention has been invented under the above-mentioned object, and does not install a separate web shell detection application compiled in binary file format on a detection target server, and detects a server through an information collection script inserted into a web page home path of the detection target server. It aims to provide a web shell detection / response system that can collect information from and use the collected information to determine whether the target server is infected with the web shell remotely.
상기한 목적을 달성하기 위한 본 발명의 일 양상에 따르면, 웹쉘 탐지/대응 시스템이 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와의 연동을 처리하는 스크립트 연동부와; 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리하는 DB 관리부와; 상기 스크립트 연동부에 의해 연동된 정보 수집 스크립트에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색하는 정보 분석부를; 포함하여 이루어지는 것을 특징으로 한다.According to an aspect of the present invention for achieving the above object, the web shell detection / response system is inserted into the web page home path of the detection target server to process the linkage with the information collection script to collect information from the detection target server A script linkage unit; A DB manager which stores and stores integrity hash information of each of the web page configuration contents of the detection target server in a database; Current hash information of each of the web page configuration contents of the detection target server collected periodically or aperiodically by the information collection script linked by the script linkage unit, and the web page configuration contents of the detection target server stored by the DB manager. An information analyzer configured to compare the respective pieces of integrity hash information and to search for the modulated web page composition content; It is characterized by comprising.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 정보 분석부가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 탐지 대상 서버로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하는 것을 특징으로 한다.According to an additional aspect of the present invention, the information analysis unit of the web shell detection / response system requests the information collection script to transmit the modified web page configuration content file to receive the modified web page configuration content file from the detection target server. do.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 정보 분석부가 탐지 대상 서버로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지하는 것을 특징으로 한다.According to an additional aspect of the present invention, the information analyzing unit of the webshell detection / response system performs a webshell signature pattern analysis on a modulated webpage configuration content file received from a server to be detected so that the corresponding server is detected. It is characterized by detecting whether it is infected by Webshell.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템이 상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행하는 대응 관리부를 더 포함하는 것을 특징으로 한다.According to an additional aspect of the present invention, when the webshell detection / response system determines that the detection target server is infected with the webshell by the information analyzer, the response management unit further alerts the person in charge of the detection target server. It is characterized by including.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 대응 관리부가 상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하는 것을 특징으로 한다.According to an additional aspect of the present invention, if it is determined by the information analyzer that the detection target server is not infected with a webshell, the response management unit of the webshell detection / corresponding system is configured to provide information about the integrity hash information of the webpage configuration content. It is characterized by requesting an update.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 DB 관리부가 상기 대응 관리부로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신하는 것을 특징으로 한다.According to an additional aspect of the present invention, the DB management unit of the web shell detection / response system, in response to the update request for the integrity hash information of the web page configuration content from the response management unit, the current hash information of the modulated web page configuration content; The integrity hash information of the web page composition content is updated by storing the integrity hash information of the web page composition content in a database.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 스크립트 연동부가 탐지 대상 서버의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버가 활성 상태인 경우 상기 정보 분석부로 변조된 웹페이지 구성 컨텐츠 검색을 요청하는 것을 특징으로 한다.According to an additional aspect of the present invention, the script interlocking unit of the web shell detection / response system checks the active or inactive state of the detection target server, and if the detection target server is active, retrieves the modified webpage configuration content by the information analyzer. Characterized in that request.
본 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템의 스크립트 연동부가 상기 탐지 대상 서버가 비활성 상태인 경우, 해당 탐지 대상 서버 접속 실패 로그를 저장하는 것을 특징으로 한다.According to an additional aspect of the present invention, when the detection target server is inactive, the script interlocking part of the web shell detection / corresponding system stores the detection target server access failure log.
본 발명의 부가적인 양상에 따르면, 상기 해시정보가 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일을 포함하는 것을 특징으로 한다.According to an additional aspect of the present invention, the hash information is detected server identification information, the hash value of the web page configuration content file, the path depth (Depth) in which the web page configuration content file is stored, the web page configuration content file name, web page configuration And a path name in which the content file is stored, an execution right of the webpage configuration content file, a last modification date of the webpage configuration content file, and a registration date of the webpage configuration content file.
본 발명의 부가적인 양상에 따르면, 정보 수집 스크립트가 웹쉘 탐지/대응 시스템과 연동되는 장치 연동부와; 탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송하는 해시정보 처리부와; 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하는 파일 처리부를; 포함하여 이루어지는 것을 특징으로 한다.According to an additional aspect of the present invention, there is provided an information collection script comprising: a device interlocking unit for interworking with a web shell detection / corresponding system; A hash information processing unit generating current hash information of all web page configuration content files in a web page home path of a detection target server and transmitting the generated hash information to a web shell detection / corresponding system linked by the device interworking unit; In response to a request for transmitting a modulated webpage configuration content file from the webshell detection / response system interworked by the device interlocking unit, the webpage detection content response of the webpage configuration content file in the webpage home path of the server to be detected is transferred to the webshell detection / response system. A file processor for transmitting; It is characterized by comprising.
본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능한 효과가 있다.The present invention does not install a separate web shell detection application compiled in the form of a binary file on the detection server, and detects whether the detection server is infected with the web shell using information collected from the detection server remotely, thereby processing the detection server by processing ( There is no possibility of conflict with other applications in the process of processing, there is no need for separate management personnel for detecting webshell on the server side of the detection server, and professional administrator who manages the webshell remotely in case of an accident caused by the webshell on the server to be detected. There is an effect that can be quickly responded.
도 1 은 본 발명에 따른 웹쉘 탐지/대응 시스템이 적용된 네트워크 개요도이다.
도 2 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 일 실시예의 구성을 도시한 블럭도이다.
도 3 은 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트의 일 실시예의 구성을 도시한 블럭도이다.
도 4 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 동작의 일 예를 도시한 흐름도이다.1 is a network overview of the web shell detection / response system according to the present invention.
Figure 2 is a block diagram showing the configuration of one embodiment of a web shell detection / response system according to the present invention.
3 is a block diagram showing the configuration of an embodiment of an information collection script inserted into a web page home path of a detection target server to collect information from the detection target server.
4 is a flowchart illustrating an example of a web shell detection operation of a web shell detection / correspondence system according to the present invention.
이하, 첨부된 도면을 참조하여 기술되는 바람직한 실시예를 통하여 본 발명을 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 기술하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to embodiments of the present invention, examples of which are illustrated in the accompanying drawings, wherein like reference numerals refer to the like elements throughout.
본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명 실시예들의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.
본 발명 명세서 전반에 걸쳐 사용되는 용어들은 본 발명 실시예에서의 기능을 고려하여 정의된 용어들로서, 사용자 또는 운용자의 의도, 관례 등에 따라 충분히 변형될 수 있는 사항이므로, 이 용어들의 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.The terms used throughout the specification of the present invention have been defined in consideration of the functions of the embodiments of the present invention and can be sufficiently modified according to the intentions and customs of the user or operator. It should be based on the contents of.
도 1 은 본 발명에 따른 웹쉘 탐지/대응 시스템이 적용된 네트워크 개요도이다. 도 1 에 도시한 바와 같이, 본 발명에 따른 웹쉘 탐지/대응 시스템(100)은 인터넷을 통해 적어도 하나의 탐지 대상 서버(200)와 연결된다. 각 탐지 대상 서버(200)의 웹페이지 홈 경로내에는 정보 수집 스크립트(300)가 삽입되어, 각 탐지 대상 서버(200)로부터 정보를 수집하여 웹쉘 탐지/대응 시스템(100)으로 전송한다.1 is a network overview of the web shell detection / response system according to the present invention. As shown in FIG. 1, the web shell detection /
웹쉘 탐지/대응 시스템(100)은 탐지 대상 서버(200)의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다.The webshell detection /
그리고, 웹쉘 탐지/대응 시스템(100)은 정보 수집 스크립트(300)를 통해 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하고, 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지한다.Then, the web shell detection /
이에 따라, 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능해진다.Accordingly, the present invention does not install a separate web shell detection application compiled in the form of a binary file on the detection target server, and detects whether the detection target server is infected with the web shell by using information collected from the detection target server remotely. There is no possibility of conflict with other applications that are being processed in the system, no separate management personnel for web shell detection are required on the server operating side of the target server, and the integrated web shell is managed remotely in case of an accident caused by the web shell on the target server. Quick response is possible by professional manager.
도 2 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 일 실시예의 구성을 도시한 블럭도이다. 도 2 에 도시한 바와 같이, 이 실시예에 따른 웹쉘 탐지/대응 시스템(100)은 스크립트 연동부(110)와, DB 관리부(120)와, 정보 분석부(130)를 포함하여 이루어진다.Figure 2 is a block diagram showing the configuration of one embodiment of a web shell detection / response system according to the present invention. As shown in FIG. 2, the web shell detection /
상기 스크립트 연동부(110)는 탐지 대상 서버(200)의 웹페이지 홈 경로내에 삽입되어 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트(300)와의 연동을 처리한다.The script interworking unit 110 is inserted into the web page home path of the
예컨대, 상기 스크립트 연동부(110)가 주기적 또는 비주기적으로 정보 수집 스크립트(300)와 소켓(Socket) 통신을 수행하여 웹쉘 탐지/대응 시스템(100)이 정보 수집 스크립트(300)와 연동되도록 구현될 수 있다. 정보 수집 스크립트(300)의 구체적인 구성은 추후 설명한다.For example, the script interlocking unit 110 performs socket communication with the
한편, 스크립트 연동부(110)가 탐지 대상 서버(200)의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버(200)가 활성 상태인 경우 정보 분석부(130)로 변조된 웹페이지 구성 컨텐츠 검색을 요청하도록 구현될 수도 있다. On the other hand, the script interlocking unit 110 checks the active or inactive state of the
만약, 상기 탐지 대상 서버가 비활성 상태인 경우, 상기 스크립트 연동부(110)가 해당 탐지 대상 서버 접속 실패 로그를 저장하도록 구현될 수도 있다. 탐지 대상 서버 접속 실패 로그에는 탐지 대상 서버의 식별정보, 탐지 대상 서버의 IP 주소, 접속 시도 일시 등이 기록될 수 있다.If the detection target server is in an inactive state, the script interlocking unit 110 may be configured to store a corresponding detection target server access failure log. In the detection target server access failure log, identification information of the detection target server, an IP address of the detection target server, and a connection attempt date and time may be recorded.
상기 DB 관리부(120)는 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리한다. 예컨대, 정보 수집 스크립트(300)에 의해 탐지 대상 서버(200)로부터 최초 정보 수집시, 상기 DB 관리부(120)가 해당 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 탐지 대상 서버(200)로부터 수신하여 데이터베이스에 저장함으로써 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보가 웹쉘 탐지/대응 시스템(100)에 등록되도록 구현될 수 있다.The DB manager 120 stores and manages the integrity hash information of the web page configuration contents of the
상기 정보 분석부(130)는 상기 스크립트 연동부(110)에 의해 연동된 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다.The information analysis unit 130 is a current hash of each of the web page configuration content of the
이 때, 상기 무결성 해시정보 및 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 현재 해시정보가 탐지 대상 서버의 암호화 개인키(Private Key) 등과 같은 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일을 특정의 해시함수(Hash Function)의 시드값으로 하여 산출된 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일 등을 포함할 수 있다.At this time, the current hash information collected periodically or aperiodically by the integrity hash information and the
즉, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보와 정보 수집 스크립트(300)에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보가 서로 상이한 탐지 대상 서버의 웹페이지 구성 컨텐츠들은 변조된 컨텐츠들이므로, 상기 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠를 검색할 수 있다.In other words, the integrity hash information of the webpage configuration contents of the detection target server stored in advance and the current hash information of the webpage configuration contents of the detection target server periodically or aperiodically collected by the
예컨대, 탐지 대상 서버의 웹페이지 구성 컨텐츠의 무결성 해시정보와 현재 해시정보에 포함된 탐지 대상 서버 식별정보가 상이하거나, 웹페이지 구성 컨텐츠 파일의 해시값이 상이하거나, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth)가 상이하거나, 웹페이지 구성 컨텐츠 파일명이 상이하거나, 웹페이지 구성 컨텐츠 파일이 저장된 경로명이 상이하거나, 웹페이지 구성 컨텐츠 파일의 실행권한이 상이하거나, 웹페이지 구성 컨텐츠 파일의 최종수정일이 상이하거나, 웹페이지 구성 컨텐츠 파일의 등록일이 상이하다고 판단될 경우, 상기 정보 분석부(130)가 해당 웹페이지 구성 컨텐츠를 변조된 것으로 판단할 수 있다.For example, the integrity hash information of the webpage configuration content of the detection target server and the detection target server identification information included in the current hash information are different, the hash value of the webpage configuration content file is different, or the path where the webpage configuration content file is stored. Different depth, different web page configuration content file name, different path name where web page configuration content file is stored, different execution authority of web page configuration content file, or last modified date of web page configuration content file When it is determined that the information is different or the registration date of the webpage configuration content file is different, the information analyzer 130 may determine that the webpage configuration content is modified.
한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청하여 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하도록 구현될 수 있다.Meanwhile, according to an additional aspect of the present invention, the information analysis unit 130 requests the
변조된 웹페이지 구성 컨텐츠가 검색되면, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 아니면, 웹쉘이 아니라 정당하게 변경된 것인지에 대한 분석이 필요하다. When the tampered webpage composition content is retrieved, it is necessary to analyze whether the tampered webpage composition content is a webshell that is maliciously added or changed by an attacker or whether it is properly changed, not the webshell.
이를 위해 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청하면, 정보 수집 스크립트(300)는 탐지 대상 서버(200)로부터 변조된 웹페이지 구성 컨텐츠 파일을 검색해 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템(100)으로 전송하고, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일을 수신한다.To this end, when the information analyzer 130 requests the
한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 탐지 대상 서버(200)로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버(200)가 웹쉘(Webshell)에 감염되었는지 탐지하도록 구현될 수 있다.On the other hand, according to an additional aspect of the invention, the information analysis unit 130 performs a webshell signature pattern analysis of the modulated webpage configuration content file received from the
예컨대, 웹쉘 탐지/대응 시스템(100)이 미리 웹쉘 특징 패턴(Webshell Signature Pattern)들을 데이터베이스에 저장하고, 탐지 대상 서버(200)로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일이 데이터베이스에 저장된 웹쉘 특징 패턴(Webshell Signature Pattern)을 포함하고 있는지 검사하여 해당 탐지 대상 서버(200)가 웹쉘(Webshell)에 감염되었는지 탐지하도록 구현될 수 있다.For example, the webshell detection /
한편, 발명의 부가적인 양상에 따르면, 상기 웹쉘 탐지/대응 시스템(100)이 대응 관리부(140)를 더 포함할 수 있다. 상기 대응 관리부(140)는 상기 정보 분석부(130)에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행한다.On the other hand, according to an additional aspect of the invention, the web shell detection /
예컨대, 상기 대응 관리부(140)가 탐지 대상 서버 담당자의 e-메일 또는 SMS 등을 통해 해당 탐지 대상 서버가 웹쉘에 감염된 웹페이지 구성 컨텐츠 파일명, 웹쉘 식별정보 등을 포함하는 웹쉘 감염 리포트를 전송하여 해당 탐지 대상 서버가 웹쉘에 감염되었음을 통보하도록 구현될 수 있다.For example, the correspondence management unit 140 transmits a web shell infection report including a web page configuration content file name, web shell identification information, etc. of a web shell infected by the corresponding target server through an e-mail or an SMS of a person in charge of the detection target server. It can be implemented to notify that the detection target server is infected with the web shell.
한편, 발명의 부가적인 양상에 따르면, 상기 대응 관리부(140)가 상기 정보 분석부(130)에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하도록 구현될 수 있다.On the other hand, according to an additional aspect of the invention, when the response management unit 140 determines that the detection target server is not infected by the Webshell (Webshell) by the information analysis unit 130, integrity hash information of the web page configuration content It can be implemented to request an update to.
그러면, 상기 DB 관리부(120)가 상기 대응 관리부(140)로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신한다.Then, in response to the DB manager 120 requesting an update on the integrity hash information of the web page configuration content from the corresponding manager 140, the DB manager 120 replaces the current hash information of the modified web page configuration content of the corresponding web page configuration content. The integrity hash information of web page composition contents is updated by storing it as a database with integrity hash information.
즉, 이 실시예는 변조된 웹페이지 구성 컨텐츠가 웹쉘에 감염되지 않고 정당하게 변조된 경우, 변조된 웹페이지 구성 컨텐츠의 무결성 해시정보가 변경되므로, 이 변경된 웹페이지 구성 컨텐츠의 무결성 해시정보를 해당 웹페이지 구성 컨텐츠의 새로운 무결성 해시정보로 갱신하기 위한 실시예이다.That is, in this embodiment, if the modified webpage composition content is not tampered with the web shell and duly tampered with, the integrity hash information of the modified webpage composition content is changed. An embodiment for updating with new integrity hash information of web page composition content.
한편, 발명의 부가적인 양상에 따르면, 상기 정보 수집 스크립트(300)가 변조된 웹페이지 구성 컨텐츠 파일을 인코딩(Encoding)하여 전송하고, 이를 수신한 웹쉘 탐지/대응 시스템(100)의 정보 분석부(130)가 인코딩된 변조된 웹페이지 구성 컨텐츠 파일을 디코딩(Decoding)하여 웹쉘 감염 여부를 분석하도록 구현될 수도 있다.Meanwhile, according to an additional aspect of the present invention, the
한편, 발명의 부가적인 양상에 따르면, 상기 정보 분석부(130)가 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석 수행 결과로서, 웹쉘(Webshell) 탐지 로그를 저장하도록 구현될 수도 있다. 웹쉘 탐지 로그에는 탐지 대상 서버의 식별정보, 탐지 대상 서버의 IP 주소, 분석 일시 등이 기록될 수 있다.Meanwhile, according to an additional aspect of the present invention, the information analyzer 130 is configured to store a webshell detection log as a result of performing a webshell signature pattern analysis on the modulated webpage configuration content file. May be In the webshell detection log, identification information of the detection target server, IP address of the detection target server, and analysis date and time may be recorded.
한편, 발명의 부가적인 양상에 따르면, 웹쉘 탐지/대응 시스템(100)의 스크립트 연동부(110)와, DB 관리부(120)와, 정보 분석부(130) 및 대응 관리부(140)가 물리적 또는 논리적으로 하나의 서버 개체로 구현될 수도 있고, 또는 그 각각이 물리적 또는 논리적으로 분산되는 복수의 서버 개체들로 구현될 수도 있다. On the other hand, according to an additional aspect of the invention, the script interlocking unit 110, the DB management unit 120, the information analysis unit 130 and the corresponding management unit 140 of the web shell detection /
따라서, 이와 같이 구현함에 의해 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능하다.Therefore, by implementing in this way, the present invention does not install a separate webshell detection application compiled in binary form on the detection server, and detects whether the detection server is infected by the webshell using information collected from the detection server remotely. There is no possibility of conflict with other applications processing on the server to be detected, there is no need for separate management personnel for web shell detection on the server side of the server to be detected, and a web shell remotely when an accident occurs due to a web shell on the server to be detected. Quick response is possible by the professional manager who manages the system.
도 3 은 탐지 대상 서버의 웹페이지 홈 경로내에 삽입되어 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트의 일 실시예의 구성을 도시한 블럭도이다. 도 3 에 도시한 바와 같이, 정보 수집 스크립트(300)는 장치 연동부(310)와, 해시정보 처리부(320)와, 파일 처리부(330)를 포함하여 이루어진다.FIG. 3 is a block diagram showing the configuration of an embodiment of an information collection script inserted into a web page home path of a detection target server to collect information from the detection target server. As shown in FIG. 3, the
상기 장치 연동부(310)는 웹쉘 탐지/대응 시스템(100)과 연동된다. 예컨대, 상기 장치 연동부(310)가 웹쉘 탐지/대응 시스템(100)으로부터의 요청에 따라, 주기적 또는 비주기적으로 웹쉘 탐지/대응 시스템(100)과 소켓(Socket) 통신을 수행하여 웹쉘 탐지/대응 시스템(100)과 연동되도록 구현될 수 있다. The
소켓(Socket) 통신은 네트워크로 연결되어 있는 두 컴퓨터의 통신 접점에 위치하는 통신 객체인 소켓(Socket)을 생성하고, 이 소켓을 통해서 서로 데이터를 교환하는 방식으로, 한쪽에서 보낸 신호를 다른 쪽에서 받으면 연결이 성립되고, 그 후 데이터를 주고 받으며, 신뢰성이 보장되는 IP 프로토콜의 TCP 패킷 또는 신뢰성이 보장되지 않는 IP 프로토콜의 UDP 패킷을 이용해 데이터를 주고받을 수 있다.Socket communication creates a socket, a communication object located at the communication point of two computers connected by a network, and exchanges data with each other through this socket. A connection is established, and then data is transmitted and received, and data can be transmitted and received using TCP packets of the IP protocol, which is guaranteed, or UDP packets of the IP protocol, which are not guaranteed.
상기 해시정보 처리부(320)는 탐지 대상 서버(200)의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송한다.The hash information processing unit 320 generates current hash information of all web page configuration content files in the web page home path of the
예컨대, 현재 해시정보가 탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일 등을 포함할 수 있다.For example, the current hash information is detected server identification information, the hash value of the web page configuration content file, the path depth where the web page configuration content file is stored, the web page configuration content file name, the path name where the web page configuration content file is stored, and the web. The execution right of the page configuration content file, the last modification date of the webpage configuration content file, and the registration date of the webpage configuration content file may be included.
상기 해시정보 처리부(320)는 탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일들에 대한 해시값, 저장된 경로 깊이(Depth), 파일명, 경로명, 실행권한, 최종수정일, 등록일을 파악하고, 이에 해당 탐지 대상 서버의 식별정보를 추가하여 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠 파일들 각각에 대한 현재 해시정보를 생성한다.The hash information processing unit 320 grasps hash values, stored path depths, file names, path names, execution rights, last modified dates, and registered dates of all web page configuration content files in the web page home path of the detection target server. In addition, the identification information of the corresponding detection target server is added to generate current hash information for each of the webpage configuration content files of the
이 때, 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠 파일들 각각의 현재 해시정보가 최초로 생성된 경우, 이 최초 생성된 웹페이지 구성 컨텐츠 파일들 각각의 현재 해시정보가 탐지 대상 서버(200)의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보가 될 수 있다.At this time, when the current hash information of each of the web page configuration content files of the
상기 파일 처리부(330)는 상기 장치 연동부(310)에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버(200)의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송한다.The file processing unit 330 modulates the web page home path of the
위에서 설명했듯이, 웹쉘 탐지/대응 시스템(100)에 의해 변조된 웹페이지 구성 컨텐츠가 검색되면, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지에 대한 분석이 필요하고, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트(300)로 요청한다.As described above, when the webpage configuration content that has been tampered by the webshell detection /
그러면, 정보 수집 스크립트(300)의 파일 처리부(330)가 탐지 대상 서버(200)의 웹페이지 홈 경로에서 변조된 웹페이지 구성 컨텐츠 파일을 검색하고, 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템(100)으로 전송한다. 그러면, 웹쉘 탐지/대응 시스템(100)은 정보 분석부(130)를 통해 변조된 웹페이지 구성 컨텐츠 파일을 수신하고, 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 아니면, 웹쉘이 아니라 정당하게 변경된 것인지에 대한 분석을 수행한다.Then, the file processing unit 330 of the
이상에서 설명한 바와 같은 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 절차를 도 4 를 참조하여 알아본다. 도 4 는 본 발명에 따른 웹쉘 탐지/대응 시스템의 웹쉘 탐지 동작의 일 예를 도시한 흐름도이다. The web shell detection procedure of the web shell detection / response system according to the present invention as described above will be described with reference to FIG. 4. 4 is a flowchart illustrating an example of a web shell detection operation of a web shell detection / correspondence system according to the present invention.
설명에 앞서, 탐지 대상 서버의 웹페이지 홈 경로내에 해당 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트가 삽입되고, 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보 및 웹쉘 특징 패턴(Webshell Signature Pattern)들이 미리 웹쉘 탐지/대응 시스템에 저장되었다 가정한다.Prior to the description, an information collection script for inserting information from the target server is inserted in the web page home path of the target server, and the integrity hash information and the webshell characteristic pattern of each of the web page configuration contents of the target server are inserted. Patterns are pre-stored in the webshell detection / response system.
먼저, 단계 410에서 웹쉘 탐지/대응 시스템이 주기적 또는 비주기적으로 탐지 대상 서버로부터 정보를 수집하는 정보 수집 스크립트와 연동된다. 웹쉘 탐지/대응 시스템의 정보 수집 스크립트 연동과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.First, in
상기 단계 410에 의해 웹쉘 탐지/대응 시스템과 정보 수집 스크립트간이 연동되면, 단계 420에서 웹쉘 탐지/대응 시스템이 정보 수집 스크립트를 통해 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보를 수신한다. 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보 생성 및 전송과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.When the webshell detection / response system and the information collection script are interlocked by the
상기 단계 420에 의해 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보가 수신되면, 단계 430에서 웹쉘 탐지/대응 시스템이 수신된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 미리 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색한다. 변조된 웹페이지 구성 컨텐츠 검색과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.When the current hash information of each of the web page configuration contents of the detection target server is received in
상기 단계 430에 의해 변조된 웹페이지 구성 컨텐츠 파일이 검색되면, 단계 440에서 웹쉘 탐지/대응 시스템이 변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 수신한다.When the webpage configuration content file modulated by the
변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 정보 수집 스크립트가 탐지 대상 서버의 웹페이지 홈 경로에서 변조된 웹페이지 구성 컨텐츠 파일을 검색하고, 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하고, 웹쉘 탐지/대응 시스템이 이를 수신한다.In response to a request to send a tampered webpage configuration content file, the information gathering script retrieves the tampered webpage configuration content file from the webpage home path of the detected server and transfers the tampered webpage configuration content file to the webshell detection / response system. The webshell detection / response system receives it.
변조된 웹페이지 구성 컨텐츠 파일을 수신한 웹쉘 탐지/대응 시스템은 단계 450에서 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지에 대한 분석을 수행한다.Receiving the tampered webpage configuration content file, the webshell detection / corresponding system performs an analysis on whether the webpage configuration content that has been tampered with is modified by the attacker or is justly changed.
이 때, 변조된 웹페이지 구성 컨텐츠 파일이 미리 저장된 웹쉘 특징 패턴(Webshell Signature Pattern)들을 포함하는지 검색함에 의해 변조된 웹페이지 구성 컨텐츠가 공격자에 의해 악의적으로 추가 또는 변경된 웹쉘(Webshell)인지 정당하게 변경된 것인지 판단할 수 있다.At this time, the modified webpage configuration content file by searching whether the modified webpage configuration content file includes pre-stored Webshell Signature Patterns is properly changed whether the webpage configuration content is a webshell that has been maliciously added or changed by an attacker. Can be determined.
만약, 단계 450에 의한 판단 결과, 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우에는, 단계 460에서 웹쉘 탐지/대응 시스템이 해당 탐지 대상 서버 담당자에게 경고를 수행한다. 웹쉘(Webshell)에 감염시 경고를 수행하는 것과 관련해서는 기 설명하였으므로, 중복 설명은 생략한다. If it is determined in
한편, 단계 450에 의한 판단 결과, 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우에는, 단계 470에서 웹쉘 탐지/대응 시스템이 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 수행한다. 웹페이지 구성 컨텐츠의 무결성 해시정보 업데이트와 관련해서는 기 설명하였으므로, 중복 설명은 생략한다.On the other hand, if it is determined in
따라서, 이와 같이 구현함에 의해 본 발명은 탐지 대상 서버에 이진 파일 형태로 컴파일된 별도의 웹쉘 탐지 어플리케이션을 설치하지 않고, 원격에서 탐지 대상 서버에서 수집된 정보를 이용해 탐지 대상 서버가 웹쉘에 감염되었는지 탐지함으로써 탐지 대상 서버에서 프로세싱(processing) 중인 다른 어플리케이션과 충돌 가능성이 전혀 없고, 탐지 대상 서버 운영측에서 웹쉘 탐지를 위한 별도의 관리 인력이 필요하지 않고, 탐지 대상 서버에 웹쉘로 인한 사고 발생시 원격에서 웹쉘을 통합 관리하는 전문적인 관리자에 의해 신속한 대응이 가능하므로, 상기에서 제시한 본 발명의 목적을 달성할 수 있다.Therefore, by implementing in this way, the present invention does not install a separate webshell detection application compiled in binary form on the detection server, and detects whether the detection server is infected by the webshell using information collected from the detection server remotely. There is no possibility of conflict with other applications processing on the server to be detected, there is no need for separate management personnel for web shell detection on the server side of the server to be detected, and a web shell remotely when an accident occurs due to a web shell on the server to be detected. Since it is possible to quickly respond by a professional manager to integrate management, it is possible to achieve the object of the present invention presented above.
본 발명은 첨부된 도면에 의해 참조되는 바람직한 실시예를 중심으로 기술되었지만, 이러한 기재로부터 후술하는 특허청구범위에 의해 포괄되는 범위내에서 본 발명의 범주를 벗어남이 없이 다양한 변형이 가능하다는 것은 명백하다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. .
본 발명은 웹쉘(Webshell) 탐지 기술분야 및 이의 응용 기술분야에서 산업상으로 이용 가능하다.The present invention is industrially applicable in the Webshell detection art and its application art.
100 : 웹쉘 탐지/대응 시스템 110 : 스크립트 연동부
120 : DB 관리부 130 : 정보 분석부
140 : 대응 관리부 200 : 탐지 대상 서버
300 : 정보 수집 스크립트 310 : 장치 연동부
320 : 해시정보 처리부 330 : 파일 처리부100: web shell detection / response system 110: script linkage
120: DB management unit 130: information analysis unit
140: response management unit 200: detection target server
300: information collection script 310: device linkage
320: hash information processing unit 330: file processing unit
Claims (10)
탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 데이터베이스에 미리 저장하여 관리하는 DB 관리부와;
상기 스크립트 연동부에 의해 연동된 정보 수집 스크립트에 의해 주기적 또는 비주기적으로 수집되는 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 현재 해시정보와, 상기 DB 관리부에 의해 저장된 탐지 대상 서버의 웹페이지 구성 컨텐츠들 각각의 무결성 해시정보를 비교하여 변조된 웹페이지 구성 컨텐츠를 검색하는 정보 분석부를;
포함하여 이루어지는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.A script interlocking unit inserted in the form of a script file rather than a binary binary file compiled into a web page home path of the detection target server to process an interaction with an information collection script collecting information from the detection target server;
A DB manager which stores and stores integrity hash information of each of the web page configuration contents of the detection target server in a database;
Current hash information of each of the web page configuration contents of the detection target server collected periodically or aperiodically by the information collection script linked by the script linkage unit, and the web page configuration contents of the detection target server stored by the DB manager. An information analyzer configured to compare the respective pieces of integrity hash information and to search for the modulated web page composition content;
Web shell detection / response system comprising a.
상기 정보 분석부가:
변조된 웹페이지 구성 컨텐츠 파일 전송을 정보 수집 스크립트로 요청하여 탐지 대상 서버로부터 변조된 웹페이지 구성 컨텐츠 파일을 수신하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 1,
The information analysis unit:
A webshell detection / response system, characterized by receiving a tampered webpage configuration content file from a server to be detected by requesting an information collection script to transmit a tampered webpage configuration content file.
상기 정보 분석부가:
탐지 대상 서버로부터 수신된 변조된 웹페이지 구성 컨텐츠 파일에 대한 웹쉘 특징 패턴(Webshell Signature Pattern) 분석을 수행하여 해당 탐지 대상 서버가 웹쉘(Webshell)에 감염되었는지 탐지하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.3. The method of claim 2,
The information analysis unit:
Webshell detection / response system that detects whether the target server is infected by Webshell by performing Webshell Signature Pattern analysis on the tampered webpage configuration content file received from the target server .
상기 웹쉘 탐지/대응 시스템이:
상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되었다 판단된 경우, 해당 탐지 대상 서버 담당자에게 경고를 수행하는 대응 관리부를;
더 포함하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 3, wherein
The webshell detection / response system is:
A response manager configured to warn a person in charge of the detection target server when it is determined by the information analysis unit that the detection target server is infected with a webshell;
Webshell detection / response system further comprising.
상기 대응 관리부가:
상기 정보 분석부에 의해 탐지 대상 서버가 웹쉘(Webshell)에 감염되지 않았다 판단된 경우, 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트를 요청하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.5. The method of claim 4,
The correspondence management unit:
And if it is determined by the information analyzer that the detection target server is not infected with a webshell, requesting an update of the integrity hash information of the webpage configuration content.
상기 DB 관리부가:
상기 대응 관리부로부터의 웹페이지 구성 컨텐츠의 무결성 해시정보에 대한 업데이트 요청에 따라, 상기 변조된 웹페이지 구성 컨텐츠의 현재 해시정보를 해당 웹페이지 구성 컨텐츠의 무결성 해시정보로 데이터베이스에 저장하여 웹페이지 구성 컨텐츠의 무결성 해시정보를 갱신하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 5, wherein
The DB management unit:
In response to a request for updating the integrity hash information of the web page composition content from the corresponding management unit, the current hash information of the modulated web page composition content is stored in the database as the integrity hash information of the web page composition content, thereby storing the web page composition content. Web shell detection / response system, characterized in that for updating the integrity hash information of the.
상기 스크립트 연동부가:
탐지 대상 서버의 활성 또는 비활성 상태를 검사하고, 해당 탐지 대상 서버가 활성 상태인 경우 상기 정보 분석부로 변조된 웹페이지 구성 컨텐츠 검색을 요청하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 1,
The script linkage unit:
Checking the active or inactive state of the detection target server, and if the detection target server is active, the web shell detection / response system, characterized in that requesting the information analysis unit retrieves the modified web page configuration content.
상기 스크립트 연동부가:
상기 탐지 대상 서버가 비활성 상태인 경우, 해당 탐지 대상 서버 접속 실패 로그를 저장하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.The method of claim 7, wherein
The script linkage unit:
And when the detection target server is in an inactive state, storing the detection target server access failure log.
상기 해시정보가:
탐지 대상 서버 식별정보, 웹페이지 구성 컨텐츠 파일의 해시값, 웹페이지 구성 컨텐츠 파일이 저장된 경로 깊이(Depth), 웹페이지 구성 컨텐츠 파일명, 웹페이지 구성 컨텐츠 파일이 저장된 경로명, 웹페이지 구성 컨텐츠 파일의 실행권한, 웹페이지 구성 컨텐츠 파일의 최종수정일, 웹페이지 구성 컨텐츠 파일의 등록일을 포함하는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.9. The method according to any one of claims 1 to 8,
The hash information is:
Detected server identification information, hash value of webpage configuration content file, path depth where webpage configuration content file is stored, webpage configuration content file name, pathname where webpage configuration content file is stored, execution of webpage configuration content file Web shell detection / response system, characterized in that it includes a permission, the last modification date of the web page configuration content file, the registration date of the web page configuration content file.
상기 정보 수집 스크립트가:
웹쉘 탐지/대응 시스템과 연동되는 장치 연동부와;
탐지 대상 서버의 웹페이지 홈 경로내의 모든 웹페이지 구성 컨텐츠 파일에 대한 현재 해시정보를 생성하여 상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로 전송하는 해시정보 처리부와;
상기 장치 연동부에 의해 연동된 웹쉘 탐지/대응 시스템으로부터의 변조된 웹페이지 구성 컨텐츠 파일 전송 요청에 따라, 탐지 대상 서버의 웹페이지 홈 경로내의 변조된 웹페이지 구성 컨텐츠 파일을 웹쉘 탐지/대응 시스템으로 전송하는 파일 처리부를;
포함하여 이루어지는 것을 특징으로 하는 웹쉘 탐지/대응 시스템.9. The method according to any one of claims 1 to 8,
The above information collection script:
A device linking unit interworking with a web shell detection / corresponding system;
A hash information processing unit generating current hash information of all web page configuration content files in a web page home path of a detection target server and transmitting the generated hash information to a web shell detection / corresponding system linked by the device interworking unit;
In response to a request for transmitting a modulated webpage configuration content file from the webshell detection / response system interworked by the device interlocking unit, the webpage detection content response of the webpage configuration content file in the webpage home path of the server to be detected is transferred to the webshell detection / response system. A file processor for transmitting;
Web shell detection / response system comprising a.
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130009330A KR101291782B1 (en) | 2013-01-28 | 2013-01-28 | Webshell detection and corresponding system |
CN201310080172.XA CN103973664A (en) | 2013-01-28 | 2013-03-13 | Webshell detection and response system |
US13/845,360 US8832834B2 (en) | 2013-01-28 | 2013-03-18 | Webshell detection and response system |
JP2013060408A JP5410626B1 (en) | 2013-01-28 | 2013-03-22 | Web shell detection / support system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130009330A KR101291782B1 (en) | 2013-01-28 | 2013-01-28 | Webshell detection and corresponding system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101291782B1 true KR101291782B1 (en) | 2013-07-31 |
Family
ID=48998343
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130009330A KR101291782B1 (en) | 2013-01-28 | 2013-01-28 | Webshell detection and corresponding system |
Country Status (4)
Country | Link |
---|---|
US (1) | US8832834B2 (en) |
JP (1) | JP5410626B1 (en) |
KR (1) | KR101291782B1 (en) |
CN (1) | CN103973664A (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105100065A (en) * | 2015-06-26 | 2015-11-25 | 北京奇虎科技有限公司 | Cloud-based webshell attack detection method, cloud-based webshell attack detection device and gateway |
KR20160000358A (en) | 2014-06-24 | 2016-01-04 | 에스케이인포섹(주) | Webshell detection apparatus having a fuction of analyzing whether webshell detection is correct or not, and method for analyzing whether webshell detection is correct or not thereof |
KR101865378B1 (en) * | 2018-01-31 | 2018-06-07 | 주식회사 에프원시큐리티 | Web shell detection system |
KR20190048606A (en) * | 2017-10-31 | 2019-05-09 | 대한민국(국방부 공군참모총장) | Realtime Web Attack Detection Method |
CN110162973A (en) * | 2019-05-24 | 2019-08-23 | 新华三信息安全技术有限公司 | A kind of Webshell file test method and device |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104394176B (en) * | 2014-12-17 | 2018-05-08 | 中国人民解放军国防科学技术大学 | A kind of webshell prevention methods based on mandatory Access Control Mechanism |
CN105989284B (en) * | 2015-02-10 | 2019-01-11 | 阿里巴巴集团控股有限公司 | The recognition methods and equipment of homepage invasion script feature |
CN104796426B (en) * | 2015-04-29 | 2018-04-27 | 上海络安信息技术有限公司 | The detection method at webpage back door |
CN106301974A (en) * | 2015-05-14 | 2017-01-04 | 阿里巴巴集团控股有限公司 | A kind of website back door detection method and device |
KR101650445B1 (en) * | 2015-12-11 | 2016-08-23 | 주식회사 윈스 | Apparatus and method for detecting webshell in real time using kernel-based file event notification function |
CN106911686B (en) * | 2017-02-20 | 2020-07-07 | 杭州迪普科技股份有限公司 | WebShell detection method and device |
CN107196929A (en) * | 2017-05-11 | 2017-09-22 | 国网山东省电力公司信息通信公司 | Suitable for the intelligent protecting method and its system under high frequency time network-combination yarn environment |
CN107566371B (en) * | 2017-09-05 | 2020-08-18 | 成都知道创宇信息技术有限公司 | WebShell mining method for massive logs |
CN107612925A (en) * | 2017-10-12 | 2018-01-19 | 成都知道创宇信息技术有限公司 | A kind of WebShell method for digging based on access behavioural characteristic |
CN107911355B (en) * | 2017-11-07 | 2020-05-01 | 杭州安恒信息技术股份有限公司 | Website backdoor utilization event identification method based on attack chain |
CN108040036A (en) * | 2017-11-22 | 2018-05-15 | 江苏翼企云通信科技有限公司 | A kind of industry cloud Webshell safety protecting methods |
AU2019273972B2 (en) * | 2018-05-21 | 2022-05-19 | Nippon Telegraph And Telephone Corporation | Determination method, determination device and determination program |
CN109040071B (en) * | 2018-08-06 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | Method for confirming WEB backdoor attack event |
CN110798439B (en) * | 2018-09-04 | 2022-04-19 | 国家计算机网络与信息安全管理中心 | Method, equipment and storage medium for actively detecting internet-of-things botnet trojan |
CN110427755A (en) * | 2018-10-16 | 2019-11-08 | 新华三信息安全技术有限公司 | A kind of method and device identifying script file |
AU2018454814C1 (en) | 2018-12-27 | 2022-08-18 | Citrix Systems, Inc. | Systems and methods for development of web products |
CN109743311B (en) * | 2018-12-28 | 2021-10-22 | 绿盟科技集团股份有限公司 | WebShell detection method, device and storage medium |
KR102382889B1 (en) * | 2019-11-28 | 2022-04-05 | 네이버클라우드 주식회사 | Method and system for detecting web shell using process information |
CN115398861B (en) * | 2020-05-07 | 2023-06-27 | 深圳市欢太科技有限公司 | Abnormal file detection method and related product |
CN113806742A (en) * | 2020-06-15 | 2021-12-17 | 中国电信股份有限公司 | WebShell detection device, WebShell detection method and computer-readable storage medium |
US10933251B1 (en) | 2020-06-17 | 2021-03-02 | Jonathan M Borkum | System for noninvasive pulsed magnetic induction heating of acupoints for the neurorehabilitation of stroke and brain injury, and for the prevention and treatment of dementia, age-related cognitive decline, and depression |
CN112118089B (en) * | 2020-09-18 | 2021-04-30 | 广州锦行网络科技有限公司 | Webshell monitoring method and system |
CN112668005A (en) * | 2020-12-30 | 2021-04-16 | 北京天融信网络安全技术有限公司 | Webshell file detection method and device |
CN113225357B (en) * | 2021-07-08 | 2021-09-17 | 北京搜狐新媒体信息技术有限公司 | Evidence obtaining method and related device for webpage backdoor |
CN114329462A (en) * | 2021-11-22 | 2022-04-12 | 网宿科技股份有限公司 | Malicious file detection method, device and equipment and readable storage medium |
CN115174197B (en) * | 2022-07-01 | 2024-03-29 | 阿里云计算有限公司 | Webshell file detection method, system, electronic equipment and computer storage medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009169490A (en) * | 2008-01-11 | 2009-07-30 | Fuji Xerox Co Ltd | User attribute information management program, user attribute information confirmation program, user attribute information management device, user attribute information confirmation device, and user attribute information management system |
KR101080953B1 (en) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | System and method for detecting and protecting webshell in real-time |
KR20130008119A (en) * | 2011-07-11 | 2013-01-22 | 주식회사 잉카인터넷 | Method of detecting file alteration |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2001331374A (en) * | 2000-05-24 | 2001-11-30 | Ntt Comware Corp | Method and device for detecting homepage falsification |
US8079080B2 (en) * | 2005-10-21 | 2011-12-13 | Mathew R. Syrowik | Method, system and computer program product for detecting security threats in a computer network |
KR100968126B1 (en) * | 2008-02-15 | 2010-07-06 | 한국인터넷진흥원 | System for Detecting Webshell and Method Thereof |
CN101626368A (en) * | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | Device, method and system for preventing web page from being distorted |
KR101138988B1 (en) * | 2009-10-26 | 2012-04-25 | 미라클워터 주식회사 | Treatment apparatus for rain water |
CN102546576B (en) * | 2010-12-31 | 2015-11-18 | 北京启明星辰信息技术股份有限公司 | A kind of web page horse hanging detects and means of defence, system and respective code extracting method |
CN102546253A (en) * | 2012-01-05 | 2012-07-04 | 中国联合网络通信集团有限公司 | Webpage tamper-resistant method, system and management server |
-
2013
- 2013-01-28 KR KR1020130009330A patent/KR101291782B1/en active IP Right Grant
- 2013-03-13 CN CN201310080172.XA patent/CN103973664A/en active Pending
- 2013-03-18 US US13/845,360 patent/US8832834B2/en active Active
- 2013-03-22 JP JP2013060408A patent/JP5410626B1/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009169490A (en) * | 2008-01-11 | 2009-07-30 | Fuji Xerox Co Ltd | User attribute information management program, user attribute information confirmation program, user attribute information management device, user attribute information confirmation device, and user attribute information management system |
KR101080953B1 (en) * | 2011-05-13 | 2011-11-08 | (주)유엠브이기술 | System and method for detecting and protecting webshell in real-time |
KR20130008119A (en) * | 2011-07-11 | 2013-01-22 | 주식회사 잉카인터넷 | Method of detecting file alteration |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20160000358A (en) | 2014-06-24 | 2016-01-04 | 에스케이인포섹(주) | Webshell detection apparatus having a fuction of analyzing whether webshell detection is correct or not, and method for analyzing whether webshell detection is correct or not thereof |
CN105100065A (en) * | 2015-06-26 | 2015-11-25 | 北京奇虎科技有限公司 | Cloud-based webshell attack detection method, cloud-based webshell attack detection device and gateway |
CN105100065B (en) * | 2015-06-26 | 2018-03-16 | 北京奇安信科技有限公司 | Webshell attack detection methods, device and gateway based on cloud |
KR20190048606A (en) * | 2017-10-31 | 2019-05-09 | 대한민국(국방부 공군참모총장) | Realtime Web Attack Detection Method |
KR102092411B1 (en) * | 2017-10-31 | 2020-03-23 | 대한민국 | Realtime Web Attack Detection Method |
KR101865378B1 (en) * | 2018-01-31 | 2018-06-07 | 주식회사 에프원시큐리티 | Web shell detection system |
CN110162973A (en) * | 2019-05-24 | 2019-08-23 | 新华三信息安全技术有限公司 | A kind of Webshell file test method and device |
CN110162973B (en) * | 2019-05-24 | 2021-04-09 | 新华三信息安全技术有限公司 | Webshell file detection method and device |
Also Published As
Publication number | Publication date |
---|---|
CN103973664A (en) | 2014-08-06 |
US8832834B2 (en) | 2014-09-09 |
US20140215619A1 (en) | 2014-07-31 |
JP2014146307A (en) | 2014-08-14 |
JP5410626B1 (en) | 2014-02-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101291782B1 (en) | Webshell detection and corresponding system | |
US11089046B2 (en) | Systems and methods for identifying and mapping sensitive data on an enterprise | |
US8291500B1 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
JP5972401B2 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
US7950056B1 (en) | Behavior based processing of a new version or variant of a previously characterized program | |
CN112637220B (en) | Industrial control system safety protection method and device | |
US20150047034A1 (en) | Composite analysis of executable content across enterprise network | |
US20060272008A1 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
US11336676B2 (en) | Centralized trust authority for web application components | |
CN101816148A (en) | Be used to verify, data transmit and the system and method for protection against phishing | |
WO2013130867A1 (en) | Method and apparatus for retroactively detecting malicious or otherwise undesirable software | |
CN110417718B (en) | Method, device, equipment and storage medium for processing risk data in website | |
CN101908116B (en) | Computer safeguard system and method | |
Andriatsimandefitra et al. | Detection and identification of android malware based on information flow monitoring | |
CN111510463A (en) | Abnormal behavior recognition system | |
CN114024773B (en) | Webshell file detection method and system | |
CN113726790A (en) | Network attack source identification and blocking method, system, device and medium | |
CN113595981B (en) | Method and device for detecting threat of uploading file and computer readable storage medium | |
JP2013152497A (en) | Black list extraction device, extraction method and extraction program | |
US20170054742A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
KR20130116418A (en) | Apparatus, method and computer readable recording medium for analyzing a reputation of an internet protocol | |
US20210209240A1 (en) | Information processing device, information processing method, information processing program, and information processing system | |
KR101876685B1 (en) | SYSTEM FOR MANAGING vulnerability OF SOFTWARE USING SPDX TECHNOLOGY AND METHOD THEREOF | |
KR101153115B1 (en) | Method, server and device for detecting hacking tools | |
KR101754964B1 (en) | Method and Apparatus for Detecting Malicious Behavior |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160705 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170629 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180702 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190626 Year of fee payment: 7 |